资源目录

翻译：陈海燕，CISSP（phrackchen@hotmail.com）

金管局咨询文件

英文版PDF 中文版PDF （PDF文件包括图示、表格、注释等更多内容）

注：以下内容因排版原因有所省略，完全信息请查阅中文版PDF。

摘要

本咨询文件提出了指导金融机构 （以下简称“机构”）制定业务应急计划的七项原则。我们鼓励机构考虑和采纳这些原则。金融业是一个由市场、系统和参与者构成的全球网络。金融业的各机构间具有高度的相互依赖性，整个金融业的防护强度等于这个链条上最薄弱环节的强度。因此，机构有必要加强对破坏性事件的抵御能力，减少造成金融业停顿的广泛破坏性事件发生的可能性。

机构董事会和管理层认识到，实施业务应急计划是至关重要的，它应该被包含在日常的业务活动中。但是，在实施全面的业务应急计划中，既要节省投资和资源，，又要确保风险管理策略的落实和业务职责的履行不是一件容易的事情。

2001年9月11日的事件（以下简称“9’11”）使那些以前没有被充分重视的诸如人员、方法和技术等方面的薄弱环节凸现出来。

金管局将在对机构的监管过程中，检查其所实施的业务应急计划，考虑机构对这些原则的应用以及其在保护金融体系系统稳定性方面所面临的风险和扮演的角色。业务应急计划是金管局对机构进行整体监管评估的重要考量因素。

在每一条原则后面包括了一些协助明确相关事项的一些提问。金管局寻求金融业者和有关方面对所提出的指导方针进行评论。

部分 1：介绍

背景

1.1 在中断后对业务活动进行快速恢复和继续有助于减少负面影响和保持信任关系，这对于任何机构都是至关重要的。否则，机构就可能无法履行关键的或全部的业务职责，以致造成严重的经济损失甚或是引起金融体系广泛和整体的损害。保险虽然能够弥补一定数量的损失，但是无法避免事件对品牌价值的损害以及造成机构客户信心的丧失。

1.2 业务应急计划就是制定用于减轻可能的事件对机构业务负面影响的计划、方法和规程。这不仅涉及到对机构信息技术（IT）体系的恢复，也包括对关键业务功能的迅速恢复和继续并履行业务职责。

对于业务应急计划指导方针的需求

1.3 金融业是由互相依赖的市场、系统和参与者构成的全球网络。从这个意义上来说，金融业网络的强度相当于其最薄弱环节的强度。机构有必要加强对破坏性事件的抵御能力，减少造成金融业停顿的广泛破坏性事件发生的可能性。很多机构向金管局提出了提供业务应急计划方面指导意见的请求。

1.4 9’11事件使那些以前没有被充分重视的薄弱环节凸现出来（更多细节请参考附录A）。它也凸现了金融业内高度的相互依赖性以及对于机构业务应急计划进行审查和调整的必要性。在这一方面新加坡并不是孤立的。对于机构和监管部门的业务应急计划活动进行更多国际协调的需求在不断增长。在许多发达地区和诸如BIS-CPSS 这样的国际组织中，其监管机构正在共享业务应急计划方面的观点和方法。金管局将在改进这些原则的过程中尽量利用这些国际成果。

1.5 本文中的这些原则正是为了响应这些请求和应对这些薄弱环节而制定的。它们的目标是提高机构和金融业的抵御能力。它们的目的并不在于规定机构应该如何具体实施其业务应急计划。

原则的应用

1.6 金管局的主要监管目标是确定机构部署了业务应急计划，以便其能够在中断事件中保持关键业务的连续性并且履行职责和服务水准的承诺。虽然鼓励机构采纳这些原则，但是金管局也认识到机构对于这些原则的采纳程度可能会有所不同。非常重要的机构 应该尽量贴近这些原则并保持高度的准备状态。

1.7 希望高层管理人员和业务应急计划的实施者阅读本文并且理解这些原则对于机构的意义和影响。

本咨询文件的目的

1.8 本文第二部分简要介绍了业务应急计划和监管手段所面临的挑战。第三部分详细介绍了所提出的七项原则。每一项原则后面所包含的提问帮助明确相关事项并征询意见。金管局计划于2003年三月发布指导方针。

部分 2：业务应急计划

良好的准备是唯一有效的保护措施

2.1 在实施全面的业务应急计划中，既要节省投资和资源，又要确保风险管理策略的落实和业务职责的履行对于机构来说是一项重要挑战。由于受到机构技术、业务和人员变化的影响，所以业务应急计划的制定是一个不断更新和改进的过程。

2.2 业务应急计划必须被应用到机构日常的管理和运行之中。机构应将其融入到企业文化和行为意识的各个层面上，以便在危机反应处理方面处于更有利的的地位。

2.3 制定业务应急计划不应仅仅被视做提高成本效益和进行可能性评估的手段。也应该是面向风险的。重要的是，董事会和管理层应该在机构的应急计划准备方面起到模范带头作用并承担责任。

监管手段

2.4 机构应该将用于在中断事件中保护其运行能力的风险管理策略和方法部署到位。机构应该管理由此类中断带来的运行风险。

2.5 抵御能力和恢复同样重要。前者在本质上是防御性的，而恢复是将机构快速回复到运行就绪状态的应变方法。所有的机构都应该部署和维护针对风险的业务应急计划框架 。其中既要考虑到抵御能力和恢复，又要考虑到业务的特点、规模和复杂程度。风险消减措施应该与机构的业务活动水平、风险承受能力和在保护金融体系系统稳定性方面所扮演的角色相适应。这些措施应该明确地被记录在业务应急计划之中并且得到定期的检查、维护和测试。

2.6 金管局将在对机构的监管过程中，检查业务应急计划的部署情况，并考察以下因素：

• 机构遵循这些原则的程度，以及
• 机构的风险特征和其在保护金融体系系统稳定性方面所扮演的角色

业务应急计划是金管局对机构进行整体监管评估的重要考量因素。

术语表

业务应急计划 为了确定由紧急情况或灾难引发的潜在损失而预先制定的计划和进行的准备。制定恢复计划以确保在此情况下机构的关键服务的连续性。

业务应急计划框架 包括与机构风险特征相适应的策略、标准和规程的框架。它体现了业务应急计划的方法。

业务影响分析 在可能的情况下，通过对影响进行定量和定性的方法确定机构在中断中可能受到的影响（损失）的方法。这将能够协助管理人员制定相应的恢复策略。

恢复策略 被用于响应业务破坏、中断或灾难事件的，经过定义、测试和管理层批准的行为方法。

恢复时间目标 在因无法达成业务功能而对业务主体造成严重影响之前可以接受的最长时间段。它包括两个部分：灾难宣布前的时间和执行业务恢复所花费的时间。

非常重要机构 非常重要机构被定义为在维护金融体系系统稳定方面扮演关键角色的机构。如果其无法完成（恢复）和进行（继续）关键功能和活动将带来系统风险和/或影响到公众或投资人的信心。

系统风险 包括金融系统中的机构无法履行其应履行职责从而造成其它机构无法履行职责的风险，这可能造成严重的资金流动性问题或信誉问题并威胁到金融市场的稳定。

部分 3 : 原则

原则 1: 董事会和管理层应该对其机构的业务应急计划准备情况负责。

3.1 机构的业务应急计划是董事会和管理层的责任。管理层应该通过对业务应急计划准备情况的定期验证来表明其对于风险及其消减措施的充分了解和重视。

3.2 验证的内容应该明确包括：

• 机构的准备情况以及
• 机构考虑到其业务活动水平、风险管理策略和在保护金融体系系统稳定性方面所扮演的角色这些因素的情况下，选择遵循本文中原则的程度

3.3 这些验证应该提交给董事会。机构业务优先情况的变化可能影响到其业务应急计划准备的效率。所以验证应该定期进行更新。

3.4 越来越多的客户和合作伙伴也在寻求为其提供金融服务的机构在业务应急计划准备方面的保证。所以，如果适当，应该将这些验证与客户、合作伙伴以及其它有关方面共享。

原则 2：机构应该将业务应急计划融入到日常的业务活动中使之成为良好的工作习惯。

3.5 业务应急计划是面向风险和事先反应的方法，它包括对业务分枝的全面理解、事件响应、危机管理和对外联络。它通过制定恢复业务功能以履行业务职责的方法和规程来处理风险。

3.6 业务应急计划应该是可信的，包含清晰的策略和职责，具有可操作性，随着业务变化得到更新并经过切实的测试。依据机构业务规模和范围的不同，良好的工作措施可包括：

• 明确业务应急计划政策和策略
• 明确业务应急计划项目中的角色和责任
• 进行业务影响分析
• 制定、部署、测试和维护业务应急计划
• 不断对员工进行相关的意识培养和技能培训
• 应急响应和操作规程
• 对外联络和危机管理协调规程
• 对外协调规程（包括管理当局和相互依赖的团体等）

3.7 一旦建立了业务应急计划，就应该定期对其进行检查、维护和测试以确保其具有及时性、高效性和可操作性。机构应该努力将面向风险的业务应急计划融入到日常运行和管理中并使之成为企业文化的一部分。

原则 3：机构应该定期、全面和切实地测试其业务应急计划。

3.8 需要通过测试来确定业务应急计划的有效性。技术、业务方法以及员工角色和责任的变化将影响和降低业务应急计划的效率并最终影响到机构的准备状态。因此，通过对业务应急计划的测试来测量其可用性和有效性是很重要的。测试还将使员工熟悉恢复站点的位置以及中断期间所需的恢复规程。测试的目标是确保机构在启动业务应急计划后能够按照计划可靠、及时和有效地恢复运行。

3.9 定期：机构对其业务应急计划一年至少要测试一次。经常性的测试对于保证业务应急计划的效率是至关重要的。一些机构发现，每月或每季度进行测试能够有效帮助其进行中断处理的准备。管理层应该参与到测试中并熟悉其在计划启动时的角色和责任。

3.10 全面和切实：业务方法的所有部分都应该得到切实的测试（比如从前台到支持和处理部分），其中包括测试恢复站点所提供基础设施的连接性、功能性和负载能力。机构应该能够证明其测试项目充分涵盖了定性和定量等各方面的问题。所有的策略和计划的假设都应该定期地被检讨以确保其适当性，在业务范围和方向发生变化时尤其应该如此。全面性还包括测试人员的意识和准备情况以及对外协调情况。相互依赖性，特别是对机构控制范围之外的外部团体的依赖性应该被全面测试。这包括在新加坡以外工作的机构官员、分枝或服务提供商。

3.11 其它可能的测试包括：

• 整个系统的桌面排演测试
• 启用员工呼叫树（人员调动和无调动情况下）
• 备份站点到备份站点的测试（包括与外部服务提供商）
• 备用共享服务安排的测试
• 备份磁带还原测试以及
• 关键记录恢复（数字的或书面的）

应该准备好正式的测试文档和列有经验教训以及风险消减措施的测后分析报告供管理层签署。

3.12 全行业范围：在金融服务供应商 和其会员机构之间进行适当规模的协调测试。这将有助于提升恢复运行的意识和信心。会员机构应该参与这些测试。

原则 4：机构应该制定恢复策略和关键业务功能的恢复时间目标。

3.13 建立恢复策略可以使机构以有序和事先定义的方式执行业务应急计划以减少中断时间和经济损失。它是定义关键业务功能的恢复时间目标 的基础。没有这些清晰的定义，有限的资源就有可能被不恰当的用于次要的活动。这样就可能对机构的信誉和生存能力造成负面的影响。

关键业务功能

3.14 在危机中，全部恢复所有的业务功能可能是不实际的。所以，机构应该确定其关键的业务功能以及这些操作中断情况下的潜在损失（经济或非经济方面）。获取这些信息的常用方法是进行业务影响分析 。这种方法也用来凸现各种关键功能之间的相对优先顺序并帮助机构确定其恢复策略和恢复时间目标。

3.15 由于不同机构的业务导向和顾客预期不同，所以其关键业务功能也有所不同。但是，与完成大额支付业务、清算和结算事务、履行每日资金和担保职责、管理客户风险以及维护客户、投资者或公众信心有关的功能通常被视作关键的。

恢复时间目标

3.16 不同机构的恢复时间目标可能不同，范围从中断后的一天之内到数分钟之内，非常重要的机构比其它机构要求有更快的恢复能力。

3.17 最近与一些机构的讨论表明，非常重要的金融机构的关键业务功能应该在中断后四个小时内恢复。

3.18 另外，金融服务供应商应该比其客户会员机构更快地恢复和继续其关键业务功能，以便这些会员（受到影响或未受影响的）得以继续运行。如果无法做到，系统风险就可能被传递和扩大。

3.19 最近与一些机构的讨论表明，非常重要的金融服务供应商应该在中断发生后两个小时以内恢复和继续其运行。

原则 5：机构应该了解和适当地消减关键业务功能互相依赖的风险。

3.20 机构具有将风险和过程分散和分布在本地、区域内和全球范围的倾向。这使其增加了对其它团体（内部或外部的）的依赖。任何对互相依赖风险的不当管理都可能造成风险叠加而降低运行或系统效率，从而有可能损害机构的运行。

3.21 在制定关键业务功能的应急计划时，机构应该考虑到这些功能的相互依赖性及其相互依赖的程度。机构也应该了解支持这些关键功能的相关业务方法，尤其是业务应急计划准备和恢复优先顺序方面的。这些依赖性的例子有：

• 机构中的（如国债、保管服务）
• 机构之间（如美元清算）
• 对金融服务提供者（如SGX、SWIFT）
• 对供应商（如灾难恢复服务供应商）
• 对基础设施提供者（如电信）

业务应急计划应该将复杂的依赖关系考虑进去并且尽可能地消减这些风险。这些依赖关系应该在制定恢复策略和恢复时间目标时做为考虑因素。

3.22 虽然有些依赖性风险不在机构的控制范围内而无法彻底消减（如无法使用电信网络），但是这并不能降低其客户和合作伙伴对机构服务和履行职责的期望。最终，依赖性风险将会落在机构身上而无法回避。所以，机构应采取合理的步骤消减这些风险（如同电信供应商讨论确保通信线路通过不同的交换局进行路由的问题）。

3.23 在与任何外部供应商签订合同之前，机构都应该确信外来风险在当前风险策略可接受的范围内，并且不会破坏自己的业务应急计划。它们应该确定其服务供应商也有相应的应急计划，即使这些计划没有自己的业务应急计划准备的那么充分。机构还应该事先向其服务供应商寻求其业务应急计划得到定期测试的保证。

3.24 在外部供应商异常终止或破产的事件中，机构寻找其它合适的供应商并进行安置和部署可能要花费数月的时间，这样的过渡期风险是无法接受的。机构应该采取合理步骤以保持适当的控制水平并保留采取适当措施继续其关键业务运行和维护其业务应急计划不容破坏的权力。

原则 6：机构应该为大范围中断情况制定计划。

3.25 9’11事件表明，机构应该为大范围中断情况制定计划。范围被定义为同一中断所影响的可能区域 。机构考虑的因素还应该包括什么情况下关键人员可能会遭受严重损失或无法使用，什么情况下诸如电信这样的关键服务会大面积中断。机构应该在业务应急计划中考虑到多个区域中断的情况，考虑到各关键业务活动的水平、风险承受能力和风险管理策略。另外，它们还应该考虑到长期中断情况下对业务应急计划的范围进行扩大和深化的问题。

3.26 大范围中断可能会增加依赖性风险。同一区域的关键功能和服务提供者的相互依赖性应该得到适当消减。对于机构与客户、合作伙伴和服务供应商的主站点在同一区域的情况，其恢复站点之间应该安排有电信链接。这些链接应该得到测试。

原则 7：机构应该采用分离策略来消减集中风险。

3.27 关键人员和信息是难以快速替代的重要资产。当业务运行及其支持技术（IT设备和人员）被安排在同一区域时，机构应该评估其集中风险。例如，当今的许多机构设想将主站点的同一批人员用于在恢复站点对其关键业务功能进行恢复的工作。这在中断造成人员无法使用的情况下通常是行不通的。

3.28 所以说，既要消减集中风险和提高人员安全性，又不能损失业务处理和关键人员集中带来的高效率，这两者之间作出平衡是很重要的。在应对大范围中断的准备中，机构应该尽量采用以下三种关键业务功能的分离策略：

3.29 第一，主站点和恢复站点分离。关键业务功能的主站点和恢复站点应在不同的区域内。例如，国债处理功能与其恢复站点应该被设在不同的区域。

3.30 第二，事务操作和IT操作分离。关键的事务操作和支持事务操作的IT操作应该在不同的区域。例如，结算操作人员与其IT操作（包括IT设备和人员）应该在不同的区域。

3.31 第三，功能内分离。部署在另外区域的一批工作人员用于接管关键业务功能。解决方案可能包括处于两个分离的操作地点的人员和得到交叉培训的另一个地点的人员。机构应该确定和设计减少集中风险的最适当的消减措施组合。我们鼓励机构对实施这一原则的不同手段进行创新和探索。

附录 A － 从9’11事件中得到的特殊教训

A.1. 虽然全球金融市场从9’11事件的后果中快速恢复到正常状态，但是事件中暴露出的不仅存在于美国金融业同样也存在于全球各金融中心的若干重要缺陷却令人关注。新加坡做为一个与全球网络和机构紧密相连的国际金融中心必须重视由此带来的教训。其中一些如下所述：

A.2. 扩展了相关的范畴：以前，机构通常不会为一栋建筑物以外发生的中断情况作出计划。9’11改变了这种模式，机构开始为影响广泛区域的大型物理中断作出计划。以前，通常不会考虑到为关键人员的损失或无法使用以及广泛的电信中断作出计划。以后，中心商业区范围或长期中断可能会成为计划考虑的一个方面。

A.3. 集中的风险：众多机构集中在一个地理区域通常会造成一个可能会加剧中断影响的集中点。如果一些关键的市场功能如清算和结算依赖于一两个位于同一地理区域的机构的运行，或者其应急计划依赖于同一批人员执行恢复任务，就可能造成负面影响的叠加。这些因素的组合可能对金融业造成广泛和系统的影响。

A.4. 相互依赖的风险：相互依赖的风险存在于机构之间或外部服务供应商（如电信企业和灾难恢复供应商）与机构之间，这些风险需要被适当消减。它还凸现了通过协调测试（包括业界范围的测试）来提供更强有力保证的需求。遗憾的是，这并没有被广泛接受。执行定期、全面和切实的测试来改善业务应急计划效率的工作任重而道远。

A.5. 业务逐级恢复：一些操作（如清算和结算）和金融服务供应商（如支付系统和基础设施供应商）会被认为是非常关键的，它们必须在很短的时间内恢复，即使发生了广泛的灾难事件也要如此。需要为关键业务操作和非常重要的机构建立恢复和继续时间目标。